了解Umbrella漫游客户端的双栈IPv6网络配置
目录
简介
本文档介绍对Umbrella漫游客户端的支持,特别是对双堆栈IPv6网络配置的支持。
概述
目前,Umbrella漫游客户端通过切换控制面板漫游客户端页面上的IPv6重定向切换功能,在默认情况下,支持macOS(漫游客户端2.1.x+)和Windows(客户端版本2.2.x+)的纯IPv4和双堆栈网络配置。
目前尚不支持Mac和Windows操作系统的纯IPv6网络。
从4.8.02042版起,AnyConnect漫游安全模块可获得IPv6重定向支持。
IPv4重定向
漫游客户端的IPv4 DNS重定向功能保持不变。DNS仍会覆盖到127.0.0.1,将DNS重定向到漫游客户端的DNS加密代理。
流程:
127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted
IPv6重定向
IPv6组件是2.2.x版中的新组件,是对漫游客户端的新增组件。此更改存在于客户端的后端以及更新的用户界面托盘上。
有何新内容?查找IPv6状态。默认情况下,此字段为“未启用”。 如果从控制面板启用IPv6重定向,Umbrella的新IPv6重定向将激活。当处于活动状态时,IPv6的DNS会被::1覆盖
IPv6保护具有其自己的独立状态:受保护状态和加密状态、受保护状态和未加密状态、未保护状态以及其他状态。此状态反映在更新的GUI上。
IPv6重定向独立于IPv4覆盖。
流程:
::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted
标准操作
漫游客户端在每个网络状态更改和定期循环间隔(当前为10秒)上测试Umbrella解析程序的可用性。 如果DNS通过dns代理可用,客户端将进入通过测试的互联网协议版本的保护模式。在启用IPv6的情况下,预计每隔10秒就会出现一次常规的DNS连接确认数据包。
当两个协议都处于活动状态时,DNS将如下所示:
::1 127.0.0.1
功能图表
|
客户端/功能:DNS覆盖 |
IPv4内部到IPv4外部 |
IPv4内部到双堆栈外部 |
IPv4内部到外部的双堆栈 |
内部双堆栈到外部双堆栈 |
IPv6内部到外部的双堆栈 |
IPv6内部到双堆栈外部 |
IPv6内部到IPv6外部 |
|
过滤:独立漫游客户端(Win/macOS) |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
|
过滤:AnyConnect漫游安全模块4.8 MR2+ |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
注意:内部DNS永远不会受到IPv6的影响。不受支持的方案允许绕过DNS和内部DNS。场景基于IPv4和IPv6 DNS设置的存在情况。内部网络可以有IPv6地址而不使用IPv6 DNS服务器,根据此图,可将其视为IPv4网络。
常见问题解答
Umbrella是否支持阻止AAAA请求(使用IPv4)?
是,通过IPv4接收的受阻域的AAAA查询返回块页面的IPv4映射IPv6地址。
Umbrella是否支持IPv6阻止页面,或者更常见的是阻止IPv6请求?
阻止页面确实无法通过IPv6访问,但是“阻止IPv6请求”的用词有点不当。 Umbrella允许或阻止既不是IPv4地址也不是IPv6地址的域。Umbrella DNS服务将域解析为IPv4或IPv6地址。当Umbrella阻止某些内容时,它会返回A查询的IPv4地址或AAAA查询的IPv4映射IPv6地址。返回的IP地址是用于Umbrella块页面而非域的IP地址。
无论哪种情况,返回的IP地址只能通过IPv4访问,因此客户端必须至少支持IPv4才能随后连接到该客户端。
当请求通过Umbrella智能代理代理代理时,情况大致相同。灰名单域的AAAA请求(通过IPv4接收)返回代理的IPv4映射IPv6地址。客户端必须支持IPv4,以便随后连接到代理。
如果允许IPv6 AAAA请求,Umbrella会记录该请求吗?
是的,Umbrella会记录该请求,前提是请求来自注册身份或身份。还必须注册具有IPv6地址的网络以记录到报告。漫游客户端或其他身份类型也是如此。
等等,我可以向Umbrella注册IPv6网络吗?
Yes!请随意,马上报到。
在带有IPv6 DNS服务器的双协议栈网络中,是否有任何预期场景未按预期应用覆盖范围?
Yes.如果Umbrella IPv4解析器无法访问,则未保护IPv4绑定DNS。如果Umbrella IPv6解析器无法访问,则未保护IPv6绑定DNS。由于网络限制,可以取消对其中一个或两个重定向的保护。请参见下一个问题以了解示例场景。
如果我有一个可访问的IPv6 DNS服务器,但Umbrella IPv6解析器不可访问,该怎么办?客户端能否保留保护?
Windows 窗口版本:由于Umbrella在IPv6上不可访问,IPv6保护保持脱机状态。发送到IPv6本地解析器的DNS在客户端外部被正常解析。由于我们的IPv4公共DNS解析器可用 — 发送到IPv4 DNS堆栈的任何DNS都受Umbrella保护。因此,通过IPv6发送的DNS不受保护,而发送到IPv4的DNS受到保护。该字段中的一个示例是具有IPv6 DNS服务器的移动热点,但无法通过IPv6访问我们的解析器。
如果我的网络接口具有一些仅本地的IPv6 DNS服务器(例如“fec0:...”),该怎么办?..."
Windows 窗口版本:从2.2.109版开始,这可能会导致一些不一致的行为。这在下一版本中已解决,漫游客户端不会处理它。
客户端的IPv4状态是否与IPv6状态交互?
Windows 窗口版本:否。它们是完全独立的状态,取决于网络可用性和每种协议是否存在DNS服务器。
如果Umbrella只能在IPv4上访问,但计算机位于启用IPv6的网络中,是否可以将IPv6 DNS重定向到IPv4 DNS服务器?
Windows 窗口版本:否。客户端仅将DNS发送到IPv6解析器以进行IPv6 DNS重定向(如果可用)。与IPv6绑定的DNS不会发送到IPv4解析器,而且无法接收策略。
MacOS与Windows是否不同?
Yes.macOS为IPv6和IPv4 DNS提供中央存储位置,我们相应地为本地DNS订购存储。与Windows不同,DNS在macOS上继续流向127.0.0.1。
如果在支持IPv4 DNS的VA后面的网络中,IPv6组件是否也可以在虚拟设备后面禁用?
此时在VA支持IPv6之前不会发生。漫游客户端的IPv6重定向组件保持活动状态、加密状态并针对IPv6绑定的DNS请求提供保护。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
09-Sep-2025
|
初始版本 |
反馈